常時SSLがウェブサイトの基本に

All Aboutは常時SSL対応になっている

All Aboutは常時SSL対応になっている

ネットショップの決済で住所や名前などの情報を入力する時、URLが「http」から「https」へ変わります。

暗号化して通信するためのSSLという仕組みですが、最近、買物カゴがなくても最初から「https」になっているウェブサイトが増えています。

これを常時SSLと呼んでいます。例えばAll Aboutは常時SSLになっています。ブラウザのURL欄を見てください。「https:」になっていてカギマークがついているのがお分かりでしょうか。

SSLの仕組みについては「ネットで安心して買物できるワケ」をご覧ください。

グーグルが「SSL対応していないウェブサイトの順位を下げる」という発表をしたため、常時SSLがホットな話題になっています。

常時SSLのメリット

常時SSLのメリットは暗号化通信できることです。これによって、なりすまし防止がしやすくなります。

大手企業や有名ブランドのウェブサイトをかたる詐欺サイトやフィッシングサイトは多数あり、ユーザーが不正サイトに誘導されて詐欺被害にあう事件が跡を絶ちません。

常時SSLではサーバ証明書が必要となり、ウェブサイトの運営者・組織が実在することが保証されるため、こうした詐欺サイトを作りにくくなります。

常時SSLの導入費用は認証レベルによって変わる

SSLでは証明書を確認できる

SSLでは証明書を確認できる

ホームページを作成し維持にかかる費用はドメイン料金・レンタルサーバー料金です。両方合わせて数千円で済むでしょう。

常時SSLは第三者が認証し証明書を発行してもらいますので、これとは別料金がかかります。料金は、どこまで認証するかのレベルによって変わってきます。

認証レベルは3種類あります。

  • ドメイン認証(DV)-ドメインだけを認証
  • 企業実在認証(OV)-企業や組織を認証
  • EV認証-担当者個人まで保証

  • ドメイン認証(Domain Validation)
申請者がドメインの使用権を所有していることを確認できる証明書です。

ユーザは自分がアクセスしているウェブサイトのURLが正しいことが分かります。ドメイン認証は料金が安く、個人、企業などに関係なく誰でも取得することができ、手続きもインターネット上だけで完結し、すぐに発行されます。料金は年間数千円ほどです。

  • 企業実在認証(Organization Validation)
企業・団体が登録でき、個人および個人事業主は登録できません。企業の登記事項証明書などを送付したあと電話などで実在確認をし企業や組織が確実にあることを認証します。ドメイン認証に加え組織名、住所が認証されます。料金は年間5~8万円ほどです。

  • EV認証(Extended Validation)
実在証明がさらに厳しくなり、世界標準の認証ガイドラインに沿って認証が行われます。企業を代表してSSL証明書の申請手続きを行う担当者が企業に所属しているか、住所に本当にいるかまでの在籍確認が行われます。企業実在証明に加え、法人設立/管轄地が認証されます。料金は年間10万円ほどです。

Googleがシマンテック系のサーバ証明書の無効化を発表

グーグルがシマンテック系のサーバ証明書の無効化を発表

グーグルがシマンテック系のサーバ証明書の無効化を発表

グーグルが「SSL対応していないウェブサイトの順位を下げる」という発表をしたため、SEO対策の一環で多くの企業がドメイン認証を取得しました。

上述の通り、年間数千円のコスト増で済むため、導入したサイトがたくさんあります。

ところが、Google Chrome(クローム)とFirefox(ファイアーフォックス)のブラウザが「シマンテック系のSSL証明書を順次無効化する」と発表したのです(IEやSafariなどの他ブラウザの対応は未定)。

無効化とは、「”https”ではなく”http”として扱う」という意味です。理由はシマンテックで不適切な手順で発行したとみられるSSL証明書が相当数あり、なりすましの可能性があるという判断に至ったため、とのこと。

無効化の対象となったのは、シマンテックと系列会社であるジオトラスト(GeoTrust)・RapidSSL(発行元名はジオトラスト)・ソート(Thawte)が発行した証明書であり、SSL化したサイトの約30%を占めています。

昔、ネットショップがSSL証明書を取得する時、ベリサイン(Verisign)が有名でした。ベリサインがシマンテックの子会社となったため、その後もシマンテックを使っているところがたくさんあります。

シマンテックは、証明書のビジネスをDigiCert社に売却していますので、現在は証明書の発行をDigiCert社が担当しています。

問題となるのはRapidSSLなど導入費用が安いため(年間1500~5000円)、導入している事業者が多いことです。DigiCert社から無効化による証明書再発行の連絡が入っているはずですが、担当者が退職していたり、メールを見逃していたりすると証明書の差し替えが適切に行われない可能性があります。担当の方は今一度確認し、しっかり対策をはかってください。

※記事内容は執筆時点のものです。最新の内容をご確認ください。